Chaque fois que j’exécute l’assistant Résultat des stratégies de groupe et que je sélectionne un contrôleur de domaine comme ordinateur cible, le résumé montre BUILTIN\Administrators dans la liste « Appartenance aux groupes de sécurité lors de l’application de la stratégie de groupe » sous Configuration ordinateur, comme illustré ci-dessous :
(Le domaine, l’utilisateur et le nom de l’ordinateur ont été omis)
Puisque les contrôleurs de domaine ne sont pas membres du groupe Administrateurs (du moins pas d’après ce que je peux voir dans ADUC), ma question est simplement : pourquoi ?
Les contrôleurs de domaine sont-ils réellement membres du groupe Administrateurs, ou est-ce que GPResults se trompe (et pourquoi) ?
Récupérez psexec de Sysinternals. Transférez-le sur votre contrôleur de domaine.
Exécutez psexec -s -i cmd.exe sur votre contrôleur de domaine.
Maintenant, dans votre nouvelle invite de commandes, tapez whoami et whoami /groups. Vous verrez que vous êtes maintenant le compte SYSTEM sur votre contrôleur de domaine (alias DC01$) et que vous appartenez effectivement au groupe Builtin\Administrators.
Ces groupes intégrés sont partagés entre les contrôleurs de domaine. Voici donc quelque chose d’intéressant :
Tapez start \\DC02\c$ depuis votre invite de commandes. Cela devrait lancer l’Explorateur Windows sur votre autre contrôleur de domaine car vous (DC01$) êtes aussi un administrateur de ce DC !
Les contrôleurs de domaine n’ont pas de SAM local de la même manière que les machines Windows ordinaires. (Eh bien, ils en ont un mais il n’est utilisé qu’en mode restauration.) Ils partagent tous les groupes intégrés de l’AD, et puisqu’un système Windows doit être administrateur de lui-même pour fonctionner, tout comme n’importe quel compte SYSTEM sur n’importe quelle autre machine Windows, cela nous donne l’effet secondaire intéressant que tous les contrôleurs de domaine finissent par être administrateurs les uns des autres.